Mail-Adressen bei T-Online lassen sich kapern
Gelingt es einem Angreifer, sein Opfer in spe auf eine speziell präparierte Internetseite zu locken, kann er dessen Mailadresse bei T-Online dauerhaft übernehmen.
- Ronald Eikenberg
Durch eine Schwachstelle können Angreifer die Mail-Adressen von T-Online-Kunden kapern, wie MDR Info berichtet. Der Angreifer lockt sein Opfer in spe hierzu auf eine speziell präparierte Internetseite, die ohne Zutun des Nutzers eine Anfrage an einen T-Online-Server schickt.
Die Anfrage bewirkt, dass der Mail-Alias des T-Online-Nutzers freigegeben wird. Im Anschluss kann sich der Angreifer den Alias selbst registrieren und beliebig nutzen; etwa, um sich über "Passwort vergessen" Zugriff auf Webdienste zu verschaffen, bei denen der ursprüngliche Eigentümer des Mail-Accounts registriert ist.
Bei dem Angriff handelt es sich um sogenanntes Cross-Site-Request-Forgery (CSRF), das darauf abzielt, dass eine Funktion auf der T-Online-Site nicht ausreichend geschützt ist. Die speziell präparierte Website des Angreifers ahmt den HTTP-Request nach, der erzeugt wird, wenn einen Nutzer seinen E-Mail-Alias über die entsprechende Funktion auf der T-Online-Site freigibt. Die Anfrage könnte etwa folgendermaßen aussehen:
http://mail.t-online.de/service.php?action=unregister
T-Online gibt den Alias daraufhin – offenbar ohne Schonfrist – zur Neuregistrierung frei.
Entdeckt hat die Schwachstelle Matthias Ungethüm aus Geringswalde in Sachsen, der das Unternehmen bereits vor sechs Wochen per Fax darüber informiert haben will. Die Telekom erklärte gegenüber heise Security, dass man derzeit mit Hochdruck an der Beseitigung der Sicherheitslücke arbeite.
Als Betreiber eines Webdienstes kann man seine Nutzer zum Beispiel durch den Einsatz eines Page-Tokens vor CSRF schützen. Dabei bettet der Server unsichtbar eine zufällig generierte Zeichenkette (das Page-Token) in die Webseite ein, über die der Nutzer die zu schützende Funktion auslösen kann. Wenn der Nutzer zum Beispiel auf "Abmelden" klickt, wird das Token automatisch mit an den Server übertragen. Entspricht das Token dem zuvor eingebetteteten, weiß der Server, dass die Anfrage legitim ist und führt die Aktion aus.
Als Nutzer kann sich hingegen kaum vor CSRF schützen. Man weiß schließlich nie, hinter welchem Link eine Angriffsseite lauerte. In einigen Fällen hilft es, sich bei den Webdiensten nach der Nutzung konsequent abzumelden. Ob das allerdings vor der Übernahme des T-Online-Mailaccounts schützt, ist unklar.
Siehe hierzu auch bei heise Security:
(rei)
